电力公司信息系统安全防护分析和研究.docVIP

电力公司信息系统安全防护分析和研究 　　摘 要：该课题研究电力信息系统信息安全防护体系的分析和研究“三横四纵”的总体架构，设计建立电力信息安全防护体系，为系统管理员、安全管理员提供安全保障，为信息化安全管理对安全监管、信息共享和发布提供安全保障支撑。 　　关键词：电力信息系统 信息安全防护 安全域 分级分域 　　中图分类号：TP309 文献标识码：A 文章编号：1674-098X（2016）12（b）-0100-02 　　电力公司的安全防护体系根据省、市、县安全防护不同层面防护要求各有侧重、相互支撑、互为补充。根据各信息系统重要程度设计安全防护体系“三横四纵”的总体架??，建立信息安全防护体系。 　　1 信息安全防护策略设计目标 　　信息安全保障体系的建设紧紧围绕安全管理、安全技术和安全运维3个方面，在每个方面都有相应的具体目标。达到这个目标就能为综合服务平台构建一个多层次、多角度的立体纵深防御体系。 　　安全管理的建设目标： 　　确定安全组织和责任划分，确定安全策略，确定信息资产分类和分级。 　　实现安全变更管理、安全补丁管理、安全备份管理、应急响应计划、业务持续性计划、安全核心流程。 　　安全培训与教育、安全控制要求： 　　对信息资产进行风险评估，达到ISO27001管理标准。 　　安全技术的建设目标： 　　根据业务需求划分不同的安全域，安全边界进行防护。 　　实现安全系统强化功能、建立网络和主机入侵检测机制、实现高危数据加密传输、关键系统的日志审计、建立病毒防范体系、建立身份认证体系、访问控制体系、远程访问安全机制。 　　建立数据安全存储体系、时间同步机制、集中安全审计体系、安全事件管理平台。 　　安全运维的建设目标： 　　建立定期风险评估机制。 　　定期对日志进行审计、定期进行渗透测试。 　　完善安全信息上报机制、定期对安全策略和标准进行评估和修订。 　　显示安全的运维外包。 　　2 电力信息安全建设体系内容 　　电力信息系统信息安全保障体系采用了“三横四纵”的总体架构，即横向上分为3个层次，分别为应用层、技术层、管理层；技术层次中纵向又分为4种主要体系，即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱，信息安全基础设施为基础，通过信息安全管理体系为业务应用提供可靠的安全保障。 　　一是应用层。这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统，应用系统是为了满足不同用户的不同业务需求，安全保障体系保障的核心就是应用系统及其数据。 　　二是技术层。这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立，应该说已经覆盖了技术上的所有方面。 　　三是管理层。包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”，再好的技术也需要完善的管理才能保证技术发挥最大的效能。 　　3 信息安全防护设计 　　电力系统是一个由内网、外网两种网络域构成的庞大信息系统。各个网络域执行着不同的服务内容：内网是一个完整的电力系统办公自动化环境，外网担负着与公众间信息沟通的责任。 　　如此复杂的应用环境给系统带来了大量潜在的安全隐患：黑客利用外网或专网攻击内部网络、数据在传输过程中的泄露、网页遭篡改、伪造身份进入系统、操作系统漏洞、病毒等。这些安全隐患不可能依靠某种单一的安全技术就能得到解决，必须在电力信息系统整体安全需求的基础上构筑一个完整的安全服务体系。 　　构建一个完整的安全防护体系有组织地实现上述安全需求，我们提出的安全保障平台由基础安全服务设施、数据安全保护、网络接入保护、平台安全管理组成。 　　（1）基础安全服务设施。 　　基础安全服务设施防护设计主要包括部署平台的应用系统的身份认证与访问控制、基础环境安全保护（访问控制、防火墙、入侵检测、安全审计、VPN）。 　　（2）数据安全保护。 　　数据安全保护方案是为部署在电力信息系统提供数据传输、数据访问和数据存储备份恢复的安全保障措施，主要分为4类：应用保护、数据传输交换保护、数据备份与恢复设计。 　　（3）网络接入保护。 　　统一管理集中建设互联网接入点，实现电力各部门互联网的安全接入和可管可控可剥离；各部门在统一的安全技术体系下，根据各自信息下发指令信息包括针对省级安全等级，建设、升级、完善安全系统；依托平台建设省级安全接入机制，实现与接入统一监控、统一管理和统一服务。 　　（4）平台安全管理。 　　安全管理体系是信息安全保障体系建设的一个重要环节，安全管理体系的建设内容包括：建立完善等级保护安全管理机构、安全管理制度、人员安全管理、系统建设运维管理